<!DOCTYPE html>
<html>
<head>
    

    

    



    <meta charset="utf-8">
    
    
    
    <title>大型网站技术架构5-网站安全性 | 尼古拉斯-鱼丸博客 | 喝酒、吃肉、不赌</title>
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    
    <meta name="theme-color" content="#3F51B5">
    
    
    <meta name="keywords" content="大型网站技术架构">
    <meta name="description" content="读《大型网站技术架构-李智慧》笔记 网站安全性？攻击：xss攻击 sql注入攻击  CSRF session劫持信息泄漏 网站攻击和防御1.xss攻击反射性xss攻击持久性xss攻击 防御手段：消毒转移，httpOnly防止脚本窃取 2.注入攻击sql注入，需要对数据库结构有所了解获取数据库信息手段：开源 500错误回显 盲注防御：消毒 ，参数正则匹配消毒；参数绑定，预编译sql os注入攻击 3">
<meta name="keywords" content="大型网站技术架构">
<meta property="og:type" content="article">
<meta property="og:title" content="大型网站技术架构5-网站安全性">
<meta property="og:url" content="http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/index.html">
<meta property="og:site_name" content="尼古拉斯-鱼丸博客">
<meta property="og:description" content="读《大型网站技术架构-李智慧》笔记 网站安全性？攻击：xss攻击 sql注入攻击  CSRF session劫持信息泄漏 网站攻击和防御1.xss攻击反射性xss攻击持久性xss攻击 防御手段：消毒转移，httpOnly防止脚本窃取 2.注入攻击sql注入，需要对数据库结构有所了解获取数据库信息手段：开源 500错误回显 盲注防御：消毒 ，参数正则匹配消毒；参数绑定，预编译sql os注入攻击 3">
<meta property="og:updated_time" content="2017-11-30T09:54:24.737Z">
<meta name="twitter:card" content="summary">
<meta name="twitter:title" content="大型网站技术架构5-网站安全性">
<meta name="twitter:description" content="读《大型网站技术架构-李智慧》笔记 网站安全性？攻击：xss攻击 sql注入攻击  CSRF session劫持信息泄漏 网站攻击和防御1.xss攻击反射性xss攻击持久性xss攻击 防御手段：消毒转移，httpOnly防止脚本窃取 2.注入攻击sql注入，需要对数据库结构有所了解获取数据库信息手段：开源 500错误回显 盲注防御：消毒 ，参数正则匹配消毒；参数绑定，预编译sql os注入攻击 3">
    
        <link rel="alternative" href="/atom.xml" title="尼古拉斯-鱼丸博客" type="application/atom+xml">
    
    <link rel="shortcut icon" href="/favicon.ico">
    <link rel="stylesheet" href="/css/style.css?v=1.6.7">
    <script>window.lazyScripts=[]</script>
</head>

<body>
    <div id="loading" class="active"></div>

    <aside id="menu" class="hide" >
  <div class="inner flex-row-vertical">
    <a href="javascript:;" class="header-icon waves-effect waves-circle waves-light" id="menu-off">
        <i class="icon icon-lg icon-close"></i>
    </a>
    <div class="brand-wrap">
      <div class="brand">
        <a href="/" class="avatar waves-effect waves-circle waves-light">
          <img src="/img/avatar.jpg">
        </a>
        <hgroup class="introduce">
          <h5 class="nickname">于亮</h5>
          <a href="mailto:136214289@qq.com" title="136214289@qq.com" class="mail">136214289@qq.com</a>
        </hgroup>
      </div>
    </div>
    <div class="scroll-wrap flex-col">
      <ul class="nav">
        
            <li class="waves-block waves-effect">
              <a href="/"  >
                <i class="icon icon-lg icon-home"></i>
                主页
              </a>
            </li>
        
            <li class="waves-block waves-effect">
              <a href="/archives"  >
                <i class="icon icon-lg icon-archives"></i>
                文档
              </a>
            </li>
        
            <li class="waves-block waves-effect">
              <a href="/tags"  >
                <i class="icon icon-lg icon-tags"></i>
                标签
              </a>
            </li>
        
            <li class="waves-block waves-effect">
              <a href="http://git.oschina.net/fish_08" target="_blank" >
                <i class="icon icon-lg icon-github"></i>
                Github
              </a>
            </li>
        
            <li class="waves-block waves-effect">
              <a href="http://weibo.com/2837335591/profile?rightmod=1&wvr=6&mod=personinfo" target="_blank" >
                <i class="icon icon-lg icon-weibo"></i>
                Weibo
              </a>
            </li>
        
            <li class="waves-block waves-effect">
              <a href="/custom"  >
                <i class="icon icon-lg icon-link"></i>
                测试
              </a>
            </li>
        
      </ul>
    </div>
  </div>
</aside>

    <main id="main">
        <header class="top-header" id="header">
    <div class="flex-row">
        <a href="javascript:;" class="header-icon waves-effect waves-circle waves-light on" id="menu-toggle">
          <i class="icon icon-lg icon-navicon"></i>
        </a>
        <div class="flex-col header-title ellipsis">大型网站技术架构5-网站安全性</div>
        
        <div class="search-wrap" id="search-wrap">
            <a href="javascript:;" class="header-icon waves-effect waves-circle waves-light" id="back">
                <i class="icon icon-lg icon-chevron-left"></i>
            </a>
            <input type="text" id="key" class="search-input" autocomplete="off" placeholder="输入感兴趣的关键字">
            <a href="javascript:;" class="header-icon waves-effect waves-circle waves-light" id="search">
                <i class="icon icon-lg icon-search"></i>
            </a>
        </div>
        
        
        <a href="javascript:;" class="header-icon waves-effect waves-circle waves-light" id="menuShare">
            <i class="icon icon-lg icon-share-alt"></i>
        </a>
        
    </div>
</header>
<header class="content-header post-header">

    <div class="container fade-scale">
        <h1 class="title">大型网站技术架构5-网站安全性</h1>
        <h5 class="subtitle">
            
                <time datetime="2017-11-30T08:10:15.000Z" itemprop="datePublished" class="page-time">
  2017-11-30
</time>


            
        </h5>
    </div>

    

</header>


<div class="container body-wrap">
    
    <aside class="post-widget">
        <nav class="post-toc-wrap" id="post-toc">
            <h4>TOC</h4>
            <ol class="post-toc"><li class="post-toc-item post-toc-level-3"><a class="post-toc-link" href="#网站安全性？"><span class="post-toc-number">1.</span> <span class="post-toc-text">网站安全性？</span></a></li><li class="post-toc-item post-toc-level-3"><a class="post-toc-link" href="#网站攻击和防御"><span class="post-toc-number">2.</span> <span class="post-toc-text">网站攻击和防御</span></a></li><li class="post-toc-item post-toc-level-3"><a class="post-toc-link" href="#信息加密技术及密钥安全管理"><span class="post-toc-number">3.</span> <span class="post-toc-text">信息加密技术及密钥安全管理</span></a></li><li class="post-toc-item post-toc-level-3"><a class="post-toc-link" href="#信息过滤和反垃圾"><span class="post-toc-number">4.</span> <span class="post-toc-text">信息过滤和反垃圾</span></a></li><li class="post-toc-item post-toc-level-3"><a class="post-toc-link" href="#信息加密技术及密钥安全管理-1"><span class="post-toc-number">5.</span> <span class="post-toc-text">信息加密技术及密钥安全管理</span></a></li></ol>
        </nav>
    </aside>
    
<article id="post-大型网站技术架构5-网站安全性"
  class="post-article article-type-post fade" itemprop="blogPost">

    <div class="post-card">
        <h1 class="post-card-title">大型网站技术架构5-网站安全性</h1>
        <div class="post-meta">
            <time class="post-time" title="2017年11月30日 16:10" datetime="2017-11-30T08:10:15.000Z"  itemprop="datePublished">2017-11-30</time>

            


            
<span id="busuanzi_container_page_pv" title="文章总阅读量" style='display:none'>
    <i class="icon icon-eye icon-pr"></i><span id="busuanzi_value_page_pv"></span>
</span>


            

        </div>
        <div class="post-content" id="post-content" itemprop="postContent">
            <p>读《大型网站技术架构-李智慧》笔记</p>
<h3 id="网站安全性？"><a href="#网站安全性？" class="headerlink" title="网站安全性？"></a>网站安全性？</h3><p>攻击：xss攻击 sql注入攻击  CSRF session劫持<br>信息泄漏</p>
<h3 id="网站攻击和防御"><a href="#网站攻击和防御" class="headerlink" title="网站攻击和防御"></a>网站攻击和防御</h3><p>1.xss攻击<br>反射性xss攻击<br>持久性xss攻击</p>
<p>防御手段：消毒转移，httpOnly防止脚本窃取</p>
<p>2.注入攻击<br>sql注入，需要对数据库结构有所了解<br>获取数据库信息手段：开源 500错误回显 盲注<br>防御：消毒 ，参数正则匹配消毒；参数绑定，预编译sql</p>
<p>os注入攻击</p>
<p>3.CSRF跨站点请求伪造<br>核心利用浏览器Cookie或服务器Session策略，盗取用户身份；<br>防御：表单token  验证码  请求来源检测 防止盗图；</p>
<p>4.其他攻击<br>ErrorCode  错误回显控制<br>HTML程序注释  review，避免注释<br>文件上传 控制上传文件格式<br>路径遍历 独立部署静态资源</p>
<p>5.web应用防火墙<br>ModSecurity是一个开源的web应用防火墙，探测攻击并保护web应用程序。<br>ModSecurity采用处理逻辑与攻击规则集合分离的架构模式。</p>
<p>6.网站安全漏洞扫描<br>构造具有攻击性的URL请求，模拟黑客攻击行为，用以发现网站安全漏洞的工具。</p>
<h3 id="信息加密技术及密钥安全管理"><a href="#信息加密技术及密钥安全管理" class="headerlink" title="信息加密技术及密钥安全管理"></a>信息加密技术及密钥安全管理</h3><p>敏感数据加密技术：<br> 单向散列加密 Md5 SHA +salt<br> 对称加密:优点算法简单，系统开销小，适合对大量数据加密。缺点是加解密使用一个密钥，远程通讯安全交换是个问题，密钥丢失，没有秘密可言； DES算法 RC算法<br> 非对称加密：用于信息安全传输，数字签名；RSA算法，HTTPS传输中浏览器使用的数字证书实质上就是经过权威机构认证的非对称加密的公钥。<br> 密钥的安全管理：<br> 源码不安全<br> 配置文件不安全<br> 1.独立服务提供加解密服务<br> 优点：泄密概率降低<br> 缺点：成本高，加解密调用远程服务，系统性能开销大<br> 2.加密算法在应用系统中，密钥放在独立服务器，密钥分片加密存储。<br> 安全性能高</p>
<h3 id="信息过滤和反垃圾"><a href="#信息过滤和反垃圾" class="headerlink" title="信息过滤和反垃圾"></a>信息过滤和反垃圾</h3><p> 文本匹配-解决敏感词过滤问题； 短数据正则  长数据双数组Trie算法 简单实现多级Hash表进行文本匹配（浪费内存，信息降噪处理）；<br> 分类算法-分类算法 +分类模型  贝叶斯分类算法 概率统计方法进行分类，  可以用来反垃圾和信息分类<br> 黑名单-hash 布隆过滤器(不完全精确条件下，内存只有hash八分之一)</p>
<h3 id="信息加密技术及密钥安全管理-1"><a href="#信息加密技术及密钥安全管理-1" class="headerlink" title="信息加密技术及密钥安全管理"></a>信息加密技术及密钥安全管理</h3><p>风险：账户风险、买家风险、卖家风险、交易风险<br>风控：人工、自动<br>机器自动风控手段：规则引擎 统计模型<br>规则引擎一般将业务规则和规则处理逻辑相分离的技术<br>统计模型，利用分类算法和机器学习算法进行智能统计。<br>所以没有绝对的固若金汤的安全，只能提高相对安全，让攻击者付出和回报不对等。</p>

        </div>

        <blockquote class="post-copyright">
    <div class="content">
        
<span class="post-time">
    最后更新时间：<time datetime="2017-11-30T09:54:24.737Z" itemprop="dateUpdated">2017年11月30日 17:54</time>
</span><br>


        如要转载请注明出处：<a href="/2017/11/30/大型网站技术架构5-网站安全性/" target="_blank" rel="external">http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/</a>
    </div>
    <footer>
        <a href="http://fish_08.oschina.io">
            <img src="/img/avatar.jpg" alt="于亮">
            于亮
        </a>
    </footer>
</blockquote>

        
<div class="page-reward">
    <a id="rewardBtn" href="javascript:;" class="page-reward-btn waves-effect waves-circle waves-light">赏</a>
</div>



        <div class="post-footer">
            
	<ul class="article-tag-list"><li class="article-tag-list-item"><a class="article-tag-list-link" href="/tags/大型网站技术架构/">大型网站技术架构</a></li></ul>


            
<div class="page-share-wrap">
    

<div class="page-share" id="pageShare">
    <ul class="reset share-icons">
      <li>
        <a class="weibo share-sns" target="_blank" href="http://service.weibo.com/share/share.php?url=http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/&title=《大型网站技术架构5-网站安全性》 — 尼古拉斯-鱼丸博客&pic=http://fish_08.oschina.io/img/avatar.jpg" data-title="微博">
          <i class="icon icon-weibo"></i>
        </a>
      </li>
      <li>
        <a class="weixin share-sns wxFab" href="javascript:;" data-title="微信">
          <i class="icon icon-weixin"></i>
        </a>
      </li>
      <li>
        <a class="qq share-sns" target="_blank" href="http://connect.qq.com/widget/shareqq/index.html?url=http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/&title=《大型网站技术架构5-网站安全性》 — 尼古拉斯-鱼丸博客&source=" data-title=" QQ">
          <i class="icon icon-qq"></i>
        </a>
      </li>
      <li>
        <a class="facebook share-sns" target="_blank" href="https://www.facebook.com/sharer/sharer.php?u=http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/" data-title=" Facebook">
          <i class="icon icon-facebook"></i>
        </a>
      </li>
      <li>
        <a class="twitter share-sns" target="_blank" href="https://twitter.com/intent/tweet?text=《大型网站技术架构5-网站安全性》 — 尼古拉斯-鱼丸博客&url=http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/&via=http://fish_08.oschina.io" data-title=" Twitter">
          <i class="icon icon-twitter"></i>
        </a>
      </li>
      <li>
        <a class="google share-sns" target="_blank" href="https://plus.google.com/share?url=http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/" data-title=" Google+">
          <i class="icon icon-google-plus"></i>
        </a>
      </li>
    </ul>
 </div>



    <a href="javascript:;" id="shareFab" class="page-share-fab waves-effect waves-circle">
        <i class="icon icon-share-alt icon-lg"></i>
    </a>
</div>



        </div>
    </div>

    
<nav class="post-nav flex-row flex-justify-between">
  
    <div class="waves-block waves-effect prev">
      <a href="/2018/01/02/java内存管理/" id="post-prev" class="post-nav-link">
        <div class="tips"><i class="icon icon-angle-left icon-lg icon-pr"></i> Prev</div>
        <h4 class="title">java内存管理</h4>
      </a>
    </div>
  

  
    <div class="waves-block waves-effect next">
      <a href="/2017/11/30/大型网站技术架构4-网站可扩展性/" id="post-next" class="post-nav-link">
        <div class="tips">Next <i class="icon icon-angle-right icon-lg icon-pl"></i></div>
        <h4 class="title">大型网站技术架构4-网站可扩展性</h4>
      </a>
    </div>
  
</nav>



    







</article>

<div id="reward" class="page-modal reward-lay">
    <a class="close" href="javascript:;"><i class="icon icon-close"></i></a>
    <h3 class="reward-title">
        <i class="icon icon-quote-left"></i>
        谢谢包子~
        <i class="icon icon-quote-right"></i>
    </h3>
    <ul class="reward-items">
        
        <li>
            <img src="/img/wechat.png" title="微信打赏二维码" alt="微信打赏二维码">
            <p>微信</p>
        </li>
        

        
        <li>
            <img src="/img/alipay.png" title="支付宝打赏二维码" alt="支付宝打赏二维码">
            <p>支付宝</p>
        </li>
        
    </ul>
</div>



</div>

        <footer class="footer">
    <div class="top">
        
<p>
    <span id="busuanzi_container_site_uv" style='display:none'>
        站点总访客数：<span id="busuanzi_value_site_uv"></span>
    </span>
    <span id="busuanzi_container_site_pv" style='display:none'>
        站点总访问量：<span id="busuanzi_value_site_pv"></span>
    </span>
</p>


        <p>
            <span><a href="/atom.xml" target="_blank" class="rss" title="rss"><i class="icon icon-lg icon-rss"></i></a></span>
            <span>博客内容遵循 <a href="http://creativecommons.org/licenses/by-nc-sa/4.0/" target="_blank">知识共享 署名 - 非商业性 - 相同方式共享 4.0协议</a></span>
        </p>
    </div>
    <div class="bottom">
        <p>
            <span>Power by <a href="http://hexo.io/" target="_blank">Hexo</a> Theme <a href="http://fish_08.oschina.io/" target="_blank">yuliang</a></span>
            <span>尼古拉斯-鱼丸博客 &copy; 2015 - 2018</span>
        </p>
    </div>
</footer>

    </main>
    <div class="mask" id="mask"></div>
<a href="javascript:;" id="gotop" class="waves-effect waves-circle waves-light"><span class="icon icon-lg icon-chevron-up"></span></a>



<div class="global-share" id="globalShare">
    <ul class="reset share-icons">
      <li>
        <a class="weibo share-sns" target="_blank" href="http://service.weibo.com/share/share.php?url=http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/&title=《大型网站技术架构5-网站安全性》 — 尼古拉斯-鱼丸博客&pic=http://fish_08.oschina.io/img/avatar.jpg" data-title="微博">
          <i class="icon icon-weibo"></i>
        </a>
      </li>
      <li>
        <a class="weixin share-sns wxFab" href="javascript:;" data-title="微信">
          <i class="icon icon-weixin"></i>
        </a>
      </li>
      <li>
        <a class="qq share-sns" target="_blank" href="http://connect.qq.com/widget/shareqq/index.html?url=http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/&title=《大型网站技术架构5-网站安全性》 — 尼古拉斯-鱼丸博客&source=" data-title=" QQ">
          <i class="icon icon-qq"></i>
        </a>
      </li>
      <li>
        <a class="facebook share-sns" target="_blank" href="https://www.facebook.com/sharer/sharer.php?u=http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/" data-title=" Facebook">
          <i class="icon icon-facebook"></i>
        </a>
      </li>
      <li>
        <a class="twitter share-sns" target="_blank" href="https://twitter.com/intent/tweet?text=《大型网站技术架构5-网站安全性》 — 尼古拉斯-鱼丸博客&url=http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/&via=http://fish_08.oschina.io" data-title=" Twitter">
          <i class="icon icon-twitter"></i>
        </a>
      </li>
      <li>
        <a class="google share-sns" target="_blank" href="https://plus.google.com/share?url=http://fish_08.oschina.io/2017/11/30/大型网站技术架构5-网站安全性/" data-title=" Google+">
          <i class="icon icon-google-plus"></i>
        </a>
      </li>
    </ul>
 </div>


<div class="page-modal wx-share" id="wxShare">
    <a class="close" href="javascript:;"><i class="icon icon-close"></i></a>
    <p>扫一扫，分享到微信</p>
    <img src="" alt="微信分享二维码">
</div>




    <script src="//cdn.bootcss.com/node-waves/0.7.4/waves.min.js"></script>
<script>
var BLOG = { ROOT: '/', SHARE: true, REWARD: true };



</script>

<script src="/js/main.min.js?v=1.6.7"></script>


<div class="search-panel" id="search-panel">
    <ul class="search-result" id="search-result"></ul>
</div>
<template id="search-tpl">
<li class="item">
    <a href="{path}" class="waves-block waves-effect">
        <div class="title ellipsis" title="{title}">{title}</div>
        <div class="flex-row flex-middle">
            <div class="tags ellipsis">
                {tags}
            </div>
            <time class="flex-col time">{date}</time>
        </div>
    </a>
</li>
</template>

<script src="/js/search.min.js?v=1.6.7" async></script>






<script async src="//dn-lbstatics.qbox.me/busuanzi/2.3/busuanzi.pure.mini.js"></script>


</body>
</html>
